Konfigurera Credential Guard i Windows steg för steg

Credential Guard har blivit en viktig del för att stärka säkerheten för autentiseringsuppgifter i miljöer Windows Moderna system är särskilt viktiga i organisationer där en attack baserad på stöld av autentiseringsuppgifter kan utgöra ett allvarligt problem. Istället för att lämna autentiseringshemligheter exponerade i systemminnet isolerar den här funktionen dem med hjälp av virtualiseringsbaserad säkerhet, vilket avsevärt minskar attackytan.

I följande rader ser du hur du konfigurerar Credential Guard Med hjälp av olika metoder (Intune/MDM, gruppolicy och register) går vi igenom de krav som din enhet måste uppfylla, de begränsningar den medför, hur man verifierar att den faktiskt är aktiv och hur man inaktiverar den i nödvändiga situationer, inklusive virtuella maskiner och UEFI-låsta enheter. Allt förklaras i detalj, men på ett tydligt och användarvänligt språk så att du enkelt kan tillämpa det.

Vad är Credential Guard och hur skyddar det inloggningsuppgifter?

Credential Guard är en säkerhetsfunktion i Windows som använder virtualiseringsbaserad säkerhet (VBS) för att isolera inloggningsuppgifter och andra autentiseringsrelaterade hemligheter. Istället för att allt lagras direkt i den lokala säkerhetsauktoritetsprocessen (lsass.exe), lagras känsliga data i en isolerad komponent som kallas LSA-isolerad o isolerad LSA.

Denna isolerade LSA körs i en skyddad miljö, separerad från huvudoperativsystemet med hjälp av hypervisorn (säkert läge virtuell eller VSM). Endast en mycket liten uppsättning binärfiler, signerade med betrodda certifikat, kan laddas in i den miljön. Kommunikation med resten av systemet sker via RPC, vilket förhindrar malware som körs på systemet, hur privilegierat det än må vara, kan direkt läsa de skyddade hemligheterna.

Credential Guard skyddar specifikt tre typer av inloggningsuppgifterNTLM-lösenordshashes, Kerberos Ticket Granting (TGT)-poster och autentiseringsuppgifter som lagras av applikationer som domänautentiseringsuppgifter komprometteras alla. Detta mildrar klassiska attacker som passera-hash o skicka-biljetten, mycket vanligt vid laterala rörelser inom företagsnätverk.

Det är viktigt att förstå att Credential Guard inte skyddar allt.Det täcker till exempel inte inloggningsuppgifter som hanteras av tredjepartsprogramvara utanför vanliga Windows-mekanismer, lokala konton och Microsoft-konton, och det skyddar inte heller mot fysiska attacker eller keyloggers. Trots det minskar det avsevärt risken i samband med domäninloggningsuppgifter.

Credential Guard aktiverat som standard

från Windows 11 22H2 och Windows Server 2025Virtualiseringsbaserad säkerhet (VBS) och Credential Guard är aktiverade som standard på enheter som uppfyller Microsofts definierade krav för hårdvara, firmware och mjukvara. Det betyder att det på många moderna datorer är förkonfigurerat och aktivt utan någon administratörsintervention.

Standardaktiveringsläget är "UEFI upplåst"Med andra ord, utan låset som förhindrar fjärravaktivering. Den här metoden gör det enklare för administratörer att inaktivera Credential Guard via policyer eller fjärrkonfiguration om en kritisk applikation är inkompatibel eller om prestandaproblem upptäcks.

När Credential Guard är aktiverat som standardSjälva VBS aktiveras också automatiskt. Ingen separat VBS-konfiguration krävs för att Credential Guard ska fungera, även om det finns ytterligare parametrar för att stärka plattformens skyddsnivå (till exempel att kräva DMA-skydd utöver standarden). boot säker).

Det finns en viktig nyans i uppdaterad utrustningOm en enhet hade Credential Guard explicit inaktiverat innan uppgradering till en version av Windows där det är aktiverat som standard, kommer det att förbli inaktiverat efter uppgraderingen. Med andra ord har administratörens explicita inställning företräde framför standardbeteendet.

Krav för system, hårdvara, firmware och licenser

För att Credential Guard ska ge ett verkligt skyddEnheten måste uppfylla en rad minimikrav för hårdvara, firmware och mjukvara. Enheter som överträffar dessa minimikrav och har ytterligare funktioner, såsom IOMMU eller TPM 2.0, kan dra nytta av högre säkerhetsnivåer mot DMA-attacker och avancerade hot.

Krav på hårdvara och firmware

De viktigaste hårdvarukraven för Credential Guard De inkluderar en 64-bitars processor med virtualiseringstillägg (Intel VT-x eller AMD-V) och stöd för adressöversättning på andra nivån (SLAT, även känd som Extended Page Tables). Utan dessa virtualiseringsfunktioner kommer VBS och virtuellt felsäkert läge inte att kunna isolera minnet ordentligt.

På firmwarenivå är det obligatoriskt att ha UEFI Version 2.3.1 eller senare med stöd för säker start och en säker uppdateringsprocess för firmware. Dessutom rekommenderas funktioner som säkert implementerad Memory Overwrite Request (MOR), skydd för startkonfiguration och möjlighet till uppgradering av firmware via [oklart - möjligen "programuppgradering" eller "programuppgradering"]. Windows Update.

Användningen av en input/output-minneshanteringsenhet (IOMMU)Att använda en virtuell maskin som Intel VT-d eller AMD-Vi rekommenderas starkt, eftersom det låter dig aktivera DMA-skydd tillsammans med VBS. Detta skydd förhindrar att skadliga enheter som är anslutna till bussen direkt får åtkomst till minnet och extraherar hemligheter.

Trusted Platform Module (TPM) är en annan viktig komponenthelst i version TPM 2.0även om TPM 1.2 också stöds. TPM tillhandahåller ett hårdvarusäkerhetsankare för att skydda VSM-huvudnyckeln och säkerställa att data som skyddas av Credential Guard endast kan nås i en betrodd miljö.

VSM-skydd och TPM:s roll

Hemligheter som skyddas av Credential Guard isoleras i minnet genom virtuellt säkert läge (VSM). På nyare hårdvara med TPM 2.0 krypteras permanenta data i VSM-miljön med en VSM-huvudnyckel skyddas av själva TPM:n och av enhetens säkra startmekanismer.

Även om NTLM- och Kerberos TGT:er återskapas vid varje inloggning och eftersom de vanligtvis inte behålls mellan omstarter, möjliggör VSM-huvudnyckeln skydd av data som kan behållas på plats. el tiempoTPM säkerställer att nyckeln inte kan extraheras från enheten och att de skyddade hemligheterna inte kan nås utanför en validerad miljö.

Krav och licenser för Windows-utgåvan

Credential Guard är inte tillgängligt i alla versioner av WindowsI klientsystem stöds det i Windows Enterprise och i Windows Education, men inte i Windows Pro eller Windows Pro Education/SE. Med andra ord skulle en dator med Windows Pro behöva en uppgradering till Enterprise för att kunna använda den här funktionen.

Användarrättigheter för Credential Guard beviljas genom licenser som Windows Enterprise E3 och E5 eller utbildningslicenserna A3 och A5. I affärsmiljöer erhålls detta vanligtvis genom volymlicensavtal, medan OEM-tillverkare vanligtvis levererar Windows Pro och kunden sedan uppgraderar till Enterprise.

Credential Guard på virtuella Hyper-V-maskiner

Credential Guard kan också skydda hemligheter inom virtuella maskiner körs i Hyper-V, på liknande sätt som det fungerar på fysiska maskiner. Huvudkraven är att Hyper-V-värden har IOMMU och att de virtuella maskinerna är av generation 2.

Det är viktigt att förstå skyddsgränsen i dessa scenarierCredential Guard skyddar mot attacker som kommer från själva den virtuella maskinen, men inte mot hot från värd med utökade behörigheter. Om värden komprometteras kan den fortfarande komma åt gästmaskinerna.

Applikationskrav och kompatibilitet

Aktivering av Credential Guard blockerar vissa autentiseringsfunktionerDärför kan vissa applikationer sluta fungera om de förlitar sig på föråldrade eller osäkra metoder. Innan massdistribution är det lämpligt att testa kritiska applikationer för att säkerställa att de förblir i drift.

Program som kräver DES-kryptering för KerberosObegränsad Kerberos-delegering, TGT-extrahering och NTLMv1-användning kommer att störas eftersom dessa alternativ är direkt inaktiverade när Credential Guard är aktivt. Detta är en strikt säkerhetsåtgärd, men nödvändig för att förhindra allvarliga sårbarheter.

Andra funktioner, såsom implicit autentiseringDelegering av autentiseringsuppgifter, MS-CHAPv2 eller CredSSP utsätter autentiseringsuppgifter för ytterligare risker även när Credential Guard är aktivt. Program som insisterar på att använda dem kan fortsätta fungera, men de gör autentiseringsuppgifterna mer sårbara, så det rekommenderas också att granska dem.

Det kan också finnas prestandapåverkan om vissa applikationer försöker interagera direkt med den isolerade processen LsaIso.exeI allmänhet tjänster som använder Kerberos på ett standardiserat sätt (till exempel fildelningar eller Fjärrskrivbord) fortsätter att fungera normalt utan att märka några förändringar.

Så här aktiverar du Credential Guard korrekt

Microsofts allmänna rekommendation är att aktivera Credential Guard Detta måste göras innan enheten ansluter till en domän eller innan en domänanvändare loggar in för första gången. Om det aktiveras senare kan användar- eller datorhemligheter redan vara exponerade i oskyddat minne.

Det finns tre huvudmetoder för att ställa in den här funktionen.Detta kan göras via Microsoft Intune/MDM, med hjälp av gruppolicy eller via Windows-registret. Valet beror på miljötyp, tillgängliga hanteringsverktyg och önskad automatiseringsnivå.

Aktivera Credential Guard med Microsoft Intune/MDM

I miljöer som hanteras med Intune eller andra MDM-lösningarCredential Guard kan aktiveras genom att skapa en enhetskonfigurationspolicy som först aktiverar virtualiseringsbaserad säkerhet och sedan definierar det specifika beteendet för Credential Guard.

Anpassade policyer kan skapas med hjälp av DeviceGuard CSP. med följande viktiga OMA-URI-parametrar:

• Aktivera VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritydatatyp int, tapperhet 1 för att möjliggöra virtualiseringsbaserad säkerhet.
• Konfigurera Credential Guard: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, typ int, tapperhet 1 för att aktivera med UEFI-lås eller 2 att aktivera utan att blockera.

När policyn har skapats tilldelas den enheten eller användargruppen. som du vill skydda. När du har tillämpat policyn måste du starta om enheten för att Credential Guard ska träda i kraft.

Konfigurera Credential Guard med hjälp av grupprincip (GPO)

I Active Directory-domäner är den enklaste metoden vanligtvis GPO:n.Du kan använda den lokala grupprincipredigeraren för en enskild dator eller skapa ett grupprincipobjekt som är länkat till domäner eller organisationsenheter för att täcka många enheter.

Den specifika vägen för gruppens policy ärEnhetskonfiguration → Administrativa mallar → System → Enhetsskydd. Inom det avsnittet finns en inställning som heter "Aktivera virtualiseringsbaserad säkerhet".

När du aktiverar den här policyn måste du välja alternativet Credential Guard. i rullgardinslistan "Inställningar för Credential Guard":

• Aktiverad med UEFI-låsförhindrar fjärrinaktivering av Credential Guard; det kan bara ändras genom fysisk åtkomst till firmware/BIOS.
• Aktiverad utan blockering: låter dig inaktivera Credential Guard senare via GPO eller fjärrkonfiguration.

GPO:er kan filtreras med hjälp av säkerhetsgrupper eller WMI-filterDetta gör att du kan tillämpa detta skydd endast på vissa typer av enheter eller användarprofiler. Efter att policyn har tillämpats krävs också en omstart för att ändringarna ska träda i kraft.

Konfigurera Credential Guard med hjälp av Windows-registret

När mer detaljerad kontroll behövs eller skript personligCredential Guard kan aktiveras direkt via registret. Den här metoden används vanligtvis i avancerade scenarier eller automatiseringar där GPO eller MDM inte är tillgängligt.

Så här aktiverar du virtualiseringsbaserad säkerhet (VBS)Följande nycklar måste konfigureras:

• Nyckelväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Namn: EnableVirtualizationBasedSecurity, typ REG_DWORD, tapperhet 1.
• Nyckelväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Namn: RequirePlatformSecurityFeatures, typ REG_DWORD, tapperhet 1 för säker start eller 3 för säker start med DMA-skydd.

För specifik Credential Guard-konfiguration Nyckeln används:

• Nyckelväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Namn: LsaCfgFlags, typ REG_DWORDMöjliga värden:
  0 för att inaktivera Credential Guard,
  1 för att aktivera det med UEFI-lås,
  2 för att aktivera det utan att blockera.

Efter att ha justerat dessa nycklar i registretDu måste starta om datorn så att VBS och Credential Guard initieras korrekt och börjar skydda autentiseringsuppgifterna.

Kontrollera om Credential Guard är aktiverat

Även om det kan verka frestande att undersöka om processen LsaIso.exe Det pågår från UppgiftshanterarenMicrosoft rekommenderar inte den här metoden som en tillförlitlig kontroll. Istället föreslås tre huvudmekanismer: Systeminformation, Power och händelsevisaren.

Verifiering med systeminformation (msinfo32)

Det enklaste sättet för många administratörer Det innebär att man använder Windows-verktyget "Systeminformation":

1. Välj Start och skriv msinfo32.exeÖppna sedan programmet "Systeminformation".
2. Gå till i den vänstra panelen System översikt.
3. Leta efter avsnittet i den högra panelen "Virtualiseringsbaserade säkerhetstjänster i drift" och kontrollera att "Credential Guard" visas bland de listade tjänsterna.

Om Credential Guard listas som en aktiv tjänst I det här avsnittet betyder det att den är korrekt aktiverad och aktiv på datorn.

Verifiering med PowerShell

I hanterade miljöer är det mycket praktiskt att använda PowerShell. För att utföra en masskontroll av Credential Guard-status kan du köra följande kommando från en förhöjd PowerShell-konsol:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Det här kommandot returnerar en uppsättning numeriska värden som anger vilka virtualiseringsbaserade säkerhetstjänster som är aktiva. I det specifika fallet med Credential Guard tolkas de enligt följande:

• 0Credential Guard inaktiverat (körs inte).
• 1Credential Guard aktiverat (körs).

Utöver denna allmänna frågaMicrosoft erbjuder skriptet DG_Readiness_Tool (till exempel DG_Readiness_Tool_v2.0.ps1), vilket låter dig kontrollera om systemet kan köra Credential Guard, aktivera det, inaktivera det och validera dess status med hjälp av alternativ som -Capable, -Enable, -Disable y -Ready.

Använda händelsevisaren

En annan verifieringsmetod mer inriktad på revision Det är för att använda Loggboken. Från eventvwr.exe Du kan komma åt "Windows-loggar" → "System" och filtrera händelserna vars ursprung är "WinInit".

Bland dessa evenemang finns bidrag relaterade till uppstarten av virtualiseringsbaserade säkerhetstjänster, inklusive de som indikerar om Credential Guard har initialiserats under startprocessen.

Inaktivera Credential Guard och UEFI-låshantering

Även om du normalt sett vill ha Credential Guard aktiveratDet finns scenarier där det kan vara nödvändigt att inaktivera det: programkompatibiliteter, laboratorietester, ändringar i säkerhetsarkitekturen etc. Proceduren för att inaktivera det beror på hur det aktiverades och om UEFI-låsning användes.

Generellt sett, inaktivera Credential Guard Detta innebär att återställa inställningarna som tillämpats via Intune/MDM, gruppolicy eller registret, och sedan starta om datorn. Men när det är aktiverat med UEFI-låsning finns det ytterligare steg eftersom vissa av inställningarna lagras i EFI-variabler för firmware.

Inaktivera Credential Guard med UEFI Lock

Om Credential Guard aktiverades med UEFI-låsDet räcker inte att ändra grupprincipobjektet eller registret. Du måste också ta bort EFI-variablerna som är associerade med den isolerade LSA-konfigurationen med hjälp av bcdedit och en liten speciell uppstartsprocess.

Från en kommandotolken med utökade privilegier en sekvens exekveras kommandon para:

1. Installera en tillfällig EFI-enhet med mountvol och kopiera SecConfig.efi till Microsofts startsökväg.
2. Skapa en systemladdarpost med bcdedit /create pekar på det SecConfig.efi.
3. Konfigurera bootsekvens av boothanteraren så att den startar en gång med den speciella laddaren.
4. Lägg till laddningsalternativet DISABLE-LSA-ISO för att inaktivera den isolerade LSA-konfigurationen som lagras i UEFI.
5. Ta bort den tillfälliga EFI-enheten igen.

Efter att dessa steg har utförts startas enheten om.Innan operativsystemet startar visas ett meddelande som anger att UEFI-inställningarna har ändrats och ber om bekräftelse. Det är viktigt att acceptera meddelandet för att inaktiveringsändringarna ska träda i kraft.

Inaktivera Credential Guard på virtuella maskiner

När det gäller virtuella maskiner anslutna till en Hyper-V-värdDet är möjligt att förhindra att den virtuella maskinen använder VBS och Credential Guard även om gästoperativsystemet är förberett för det.

Från värden kan du köra PowerShell Följande kommando kommer att exkludera en virtuell maskin från virtualiseringsbaserad säkerhet:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Genom att aktivera detta undantagsalternativDen virtuella maskinen kommer att köras utan VBS-skydd och, i förlängningen, utan Credential Guard, vilket kan vara användbart i testmiljöer eller när man kör äldre system i virtuella maskiner.

Integrera Credential Guard i AWS Nitro och andra scenarier

Credential Guard är även tillgängligt i molnmiljöer såsom Amazon EC2, som utnyttjar den säkra arkitekturen i AWS Nitro-systemet. I detta sammanhang förlitar sig VBS och Credential Guard på Nitro för att förhindra att Windows-inloggningsuppgifter extraheras från gästoperativsystemets minne.

Så här använder du Credential Guard på en Windows-instans i EC2För att starta en kompatibel instans måste du välja en instanstyp som stöds och ett förkonfigurerat Windows AMI som inkluderar stöd för virtuell TPM och VBS. Detta kan göras från Amazon EC2-konsolen eller från AWS CLI med hjälp av run-instances eller med PowerShell med hjälp av New-EC2Instancespecificera, till exempel, en bild av stilen TPM-Windows_Server-2022-English-Full-Base.

I vissa fall kommer det att vara nödvändigt att inaktivera minnesintegriteten (HVCI) innan Credential Guard aktiveras, genom att justera grupprinciper relaterade till "Virtualiseringsbaserat skydd av kodintegritet". När dessa justeringar är gjorda och instansen har startats om kan Credential Guard aktiveras och valideras, precis som på vilken annan Windows-maskin som helst, med msinfo32.exe.

Skyddsgränser och aspekter som Credential Guard inte täcker

Även om Credential Guard representerar ett stort steg framåt inom skydd av autentiseringsuppgifterDet är inte en mirakellösning som löser allt. Det finns specifika fall som faller utanför dess räckvidd, och det är viktigt att vara medveten om dessa för att undvika en falsk känsla av trygghet.

Några exempel på vad den inte skyddar är:

• Programvara från tredje part som hanterar autentiseringsuppgifter utanför vanliga Windows-mekanismer.
• lokala konton och Microsoft-konton som konfigurerats på själva datorn.
• Active Directory-databas på Windows Server-domänkontrollanter.
• Inkommande kanaler för autentiseringsuppgifter såsom fjärrskrivbordsgatewayservrar.
• Tangenttryckningsinspelare och direkta fysiska attacker mot laget.

Det hindrar inte heller en angripare med skadlig kod på datorn från att Den använder behörigheter som redan beviljats ​​en aktiv autentiseringsuppgift. Det vill säga, om en användare med förhöjda behörigheter ansluter till ett komprometterat system kan angriparen utnyttja dessa behörigheter under hela sessionen, även om de inte kan stjäla hashen från det skyddade minnet.

I miljöer med användare eller konton med högt värde (domänadministratörer, IT-personal med tillgång till kritiska resurser etc.) är det fortfarande lämpligt att använda dedikerad utrustning och andra ytterligare säkerhetslager, såsom flerfaktorsautentisering, nätverkssegmentering och åtgärder mot keyloggers.

Device Guard, VBS och relationen med Credential Guard

Device Guard och Credential Guard nämns ofta tillsammans. eftersom båda utnyttjar virtualiseringsbaserad säkerhet för att stärka systemskyddet, även om de löser olika problem.

Credential Guard fokuserar på att skydda inloggningsuppgifter (NTLM, Kerberos, Credential Manager) och isolerar dem i den skyddade LSA:n. Den är inte beroende av Device Guard, även om båda delar användningen av hypervisorn och hårdvarufunktioner som TPM, säker start och IOMMU.

Device Guard, för sin del, är en uppsättning funktioner Hårdvaru- och mjukvarulösningar låter dig låsa enheten så att den bara kan köra betrodda program som definieras i kodintegritetspolicyer. Detta ändrar den traditionella modellen (där allt körs om det inte blockeras av antivirusprogram) till en där endast explicit auktoriserade program körs.

Båda funktionerna är en del av Windows Enterprise-arsenalen. För att skydda mot avancerade hot förlitar sig Device Guard på VBS och kräver att drivrutiner är HVCI-kompatibla, medan Credential Guard använder VBS för att isolera autentiseringshemligheter. Tillsammans erbjuder de en kraftfull kombination: mer pålitlig kod och bättre skyddade inloggningsuppgifter.

Har Credential Guard korrekt konfigurerat Detta innebär att säkra en av de känsligaste aspekterna i alla Windows-miljöer: användar- och datoruppgifter. Att förstå dess krav, veta hur man aktiverar det med Intune, GPO eller registret, känna till dess begränsningar och ha tydliga procedurer för att verifiera dess status och inaktivera det i undantagsfall gör att du kan dra full nytta av denna teknik utan att stöta på överraskningar i produktionen.